Защита конфиденциальной информации на предприятии

6.  Использование  ошибочных действий персонала  или умышленное провоцирование  злоумышленником этих действий;

7.  Тайное или  по фиктивным документам проникновение  в здания предприятия и помещения,  криминальный, силовой доступ к  информации, то есть кража документов, дискет, жестких дисков (винчестеров)  или самих компьютеров, шантаж  и склонение к сотрудничеству  отдельных работников, подкуп и  шантаж работников, создание экстремальных  ситуаций и т.п.;

8.  Получение нужной  информации от третьего (случайного) лица.

Организационные каналы отбираются или формируются злоумышленником  индивидуально в соответствии с  его профессиональным умением, конкретной ситуацией, и прогнозировать их крайне сложно. Обнаружение организационных  каналов требует проведения серьезной  поисковой и аналитической работы (75, с.32).

Широкие возможности  несанкционированного получения информации с ограниченным доступом создают  техническое обеспечение технологий финансового документооборота организации. Любая управленческая и финансовая деятельность всегда связана с обсуждением  информации в кабинетах или по линиям и каналам связи (проведение видео - и селекторных совещаний), проведением расчетов и анализа  ситуаций на компьютерах, изготовлением, размножением документов и т.п.

Технические каналы утечки информации возникают при  использовании специальных технических  средств промышленного шпионажа, позволяющих получать защищаемую информацию без непосредственного контакта с персоналом организации, документами, делами и базами данных (59, с.58).

Технический канал  представляет собой физический путь утечки информации от источника или  канала объективного распространения  информации к злоумышленнику. Канал  возникает при анализе злоумышленником  физических полей и излучений, появляющихся в процессе работы вычислительной и  другой офисной техники, перехвате  информации, имеющей звуковую, зрительную или иную форму отображения. Основными  техническими каналами являются акустический, визуально-оптический, электромагнитный и др. Это каналы прогнозируемые, они носят стандартный характер и прерываются стандартными средствами противодействия. Например, в соответствии с ГОСТ РВ 50600-93. "Защита секретной  информации от технической разведки. Система документов. Общие положения" (26).

Обычным и профессионально  грамотным является творческое сочетание  в действиях злоумышленника каналов  обоих типов, например установление доверительных отношений с работниками  организации и перехват информации по техническим каналам с помощью  этого работника.

Вариантов и сочетаний  каналов может быть множество, поэтому  риск утраты информации всегда достаточно велик. При эффективной системе  защиты информации злоумышленник разрушает  отдельные элементы защиты и формирует  необходимый ему канал получения  информации (64, с.80).

В целях реализации поставленных задач злоумышленник  определяет не только каналы несанкционированного доступа к информации организации, но и совокупность методов получения  этой информации.

Для того чтобы защищать информацию на должном уровне, необходимо "знать врага" и используемые методы добычи информации.

Легальные методы (61, с.74) входят в содержание понятий  и "своей разведки в бизнесе", отличаются правовой безопасностью  и, как правило, определяют возникновение  интереса к организации. В соответствии с этим может появиться необходимость  использования каналов несанкционированного доступа к требуемой информации. В основе "своей разведки" лежит  кропотливая аналитическая работа злоумышленников и конкурентов  специалистов-экспертов над опубликованными  и общедоступными материалами организации. Одновременно изучаются деятельность и предоставляемые услуги организации, рекламные издания, информация, полученная в процессе официальных и неофициальных  бесед и переговоров с работниками  предприятия, материалы пресс-конференций, презентаций фирмы и услуг, научных  симпозиумов и семинаров, сведения, получаемые из информационных сетей, в  том числе из Интернета. Легальные  методы дают злоумышленнику основную массу интересующей его информации и позволяют определить состав отсутствующих  сведений, которые предстоит добыть нелегальными методами, а некоторые  уже и не надо добывать в связи  с кропотливым анализом открытой информации.

Нелегальные методы получения ценной информации всегда носят незаконный характер и используются в целях доступа к защищаемой информации, которую невозможно получить легальными методами. В основе нелегального получения информации лежит поиск  злоумышленником существующих в  организации наиболее эффективных  в конкретных условиях незащищенных организационных и технических каналов несанкционированного доступа к информации. Формирование таких каналов при их отсутствии и реализация плана практического использования этих каналов.

Нелегальные методы предполагают: воровство, продуманный  обман, подслушивание разговоров, подделку идентифицирующих документов, взяточничество, подкуп, шантаж, инсценирование или  организацию экстремальных ситуаций, использование различных криминальных приемов и т.д. В процессе реализации нелегальных методов часто образуется агентурный канал добывания ценной финансовой информации. К нелегальным  методам относятся также: перехват информации, объективно распространяемой по техническим каналам, визуальное наблюдение за зданиями и помещениями  банка и персоналом, анализ объектов, содержащих следы защищаемой информации, анализ архитектурных особенностей объектов защиты, анализ бумажного  мусора, выносимого и вывозимого из предприятия (50, с.32).

Таким образом, утечка информации с ограниченным доступом может наступить:

1.  При наличии  интереса организаций лиц, конкурентов  к конкретной информации;

2.  При возникновении  риска угрозы, организованной злоумышленником  или при случайно сложившихся  обстоятельствах;

3.  При наличии  условий, позволяющих злоумышленнику  осуществить необходимые действия  и овладеть информацией. (71, с.47).

Данные условия  могут включать:

1.  Отсутствие  системной аналитической и контрольной  работы по выявлению и изучению  угроз и каналов утечки информации, степени риска нарушений информационной  безопасности организации;

2.  Неэффективную,  слабо организованную систему  защиты информации фирмы или  отсутствие этой системы;

3.  Непрофессионально  организованную технологию закрытого  (конфиденциального) финансового  документооборота, включая электронный,  и делопроизводства по документированной  информации с ограниченным доступом;

4.  Неупорядоченный  подбор персонала и текучесть  кадров, сложный психологический  климат в коллективе;

5.  Отсутствие  системы обучения сотрудников  правилам работы с документированной  информацией с ограниченным доступом;

6.  Отсутствие  контроля со стороны руководства  предприятия за соблюдением персоналом  требований нормативных документов  по работе с документированной  информацией с ограниченным доступом;

7.  Бесконтрольное  посещение помещений организации  посторонними лицами. (50, с.33).

Каналы несанкционированного доступа и утечки информации могут  быть двух типов: организационные и  технические. Обеспечиваются они легальными и нелегальными методами (63, с.39).

Таким образом, получение  документов или информации с ограниченным доступом может быть единичным явлением или регулярным процессом, протекающим  на протяжении относительно длительного  времени.

Поэтому любые информационные ресурсы организации являются весьма уязвимой категорией, и при интересе, возникшем к ним со стороны  злоумышленника, опасность их утечки становится достаточно реальной.

Желательна предварительная  оценка аналитиками подготовленных к публикации материалов о фирме, выставочных проспектов, рекламных  изданий и т.п., их участие в  презентациях, выставках, собраниях  акционеров, переговорах, а также  собеседованиях и тестированиях  кандидатов на должности. Последнее  является одной из основных и наиболее важных обязанностей информационно-аналитической  службы, так как именно на этом этапе  можно с определенной долей вероятности  перекрыть один из основных организационных  каналов - поступление злоумышленника на работу в фирму (84, с.35).

 

1.4 Угрозы и система  защиты конфиденциальной информации

Под угрозой или  опасностью утечки информации понимается единичное или комплексное, реальное или потенциальное, активное или  пассивное проявление неблагоприятных  возможностей внешних или внутренних источников угрозы создавать критические  ситуации, события, оказывать дестабилизирующее  воздействие на защищаемые и охраняемые информационные ресурсы, в том числе  и финансовые, включая документы  и базы данных (101, с.36).

Информация является одним из важнейших видов продуктов  и видов товара на рынке, в том  числе на международном. Средства ее обработки, накопления, хранения и передачи постоянно совершенствуются. Информация как категория, имеющая действительную или потенциальную ценность, стоимость, как и любой другой вид ценности, - охраняется, защищается ее собственником  или владельцем.

Защищают и охраняют, как правило, не всю или не всякую информацию, а наиболее важную, ценную для ее собственника, ограничение  распространения которой приносит ему какую-то пользу или прибыль, возможность эффективно решать стоящие  перед ним задачи

Под защищаемой информацией  понимают сведения, на использование  и распространение которых введены  ограничения их собственником (66, с.27).

Под общими признаками (концепциями) защиты любого вида охраняемой информации понимают следующее;

¾  защиту информации организует и проводит собственник, владелец / уполномоченное на это лицо;

¾  защитой информации собственник охраняет свои права  на владение и распространение информации, стремится оградить ее от незаконного  завладения и использования в  ущерб его интересам;

¾  защита информации осуществляется путем проведения комплекса  мер по ограничению доступа к  защищаемой информации и созданию условий, исключающих или существенно  затрудняющий несанкционированный  доступ к засекреченной информации.

Следовательно, защита информации - есть комплекс мероприятий, проводимых собственником информации по ограждению своих прав на владение и распоряжение прав на информацию, создание условий, ограничивающих и  исключающих или существенно  затрудняющих несанкционированный  доступ к засекреченной информации и ее носителям (71, с.7).

Защита информации - это деятельность собственника информации или уполномоченных им лиц по: обеспечению  своих прав на владение, распоряжение и управление защищаемой информацией; предотвращению утечки и утраты информации; сохранению полноты достоверности, целостности защищаемой информации, ее массивов и программ обработки, сохранению конфиденциальности или секретности  защищаемой информации в соответствии с правилами, установленными законодательными и другими нормативными актами (74, с.18).

Сохранение сведений в тайне, владение секретами дает определенные преимущества той стороне, которая ими владеет. Защищаемая информация, как и любая другая информация, используется человеком  или по его воле различными созданными искусственно или существующими  естественно системами в интересах  человека. Она носит семантический, то есть смысловой, содержательный характер. Это дает возможность использовать одну и ту же информацию разными  людьми, народами независимо от языка  ее представления и знаков, которыми она записана, формы ее выражения  и т.д. В то же время защищаемая информация имеет и отличительные  признаки:

¾  засекречивать  информацию, то есть ограничивать к  ней доступ, может только ее собственник (владелец) или уполномоченные им на то лица;

¾  чем важнее для  собственника информация, тем тщательнее он ее защищает. А для того чтобы  все, кто сталкивается с этой защищаемой информацией, знали, что одну информацию необходимо оберегать более тщательно, чем другую, собственник определяет ей различную степень секретности;

¾  защищаемая информация должна приносить определенную пользу ее собственнику и оправдывать затрачиваемые  на ее защиту силы и средства.

Основной угрозой  информационной безопасности является несанкционированный (незаконный, неразрешенный) доступ злоумышленника или постороннего лица к документированной информации с ограниченным доступом и, как результат, овладение информацией и незаконное, противоправное ее использование.

Разработка мер, и  обеспечение защиты информации осуществляются подразделениями по защите информации (служба безопасности) или отдельными специалистами, назначаемыми руководством предприятия (учреждения) для проведения таких работ. Разработка мер защиты информации может осуществляться также  сторонними предприятиями, имеющими соответствующие  лицензии Гостехкомиссии России и/или  ФАПСИ на право оказания услуг  в области защиты информации (69, с.63).

Под злоумышленником  понимается лицо, действующее в интересах  противника, конкурента или в личных корыстных интересах (на сегодняшний  день - террористы любых мастей, промышленный и экономический шпионаж, криминальные структуры, отдельные преступные элементы, лица, сотрудничающие со злоумышленником, психически больные лица и т.п.) (73, с.64).

Под посторонним  лицом понимается любое лицо, не имеющее непосредственного отношения  к деятельности фирмы (работники  милиции, МЧС, коммунальных служб, медицинской  помощи, прохожие и др.), посетители организации, работники других организаций, включая контролирующие органы, а  также работники самого предприятия, не обладающие правом доступа в определенные здания и помещения, к конкретным документам, базам данных (70, с.2).